Отворен билет 
+373 79 600002 
Чат на живо в Telegram 
Често задавани въпроси 
български
English 
Русский 
Română 
Deutsch 
Français 
Türkçe 
Español 
Português 
Українська 
Polski 
Indonesia 
中文 (中国) 
Имена на домейниWHOIS Търсене Обяснено: Пълно Техническо Ръководство за 2025
Протоколът WHOIS lookup е протокол за заявки и отговори, използван за извличане на данни за регистрация, свързани с домейн, IP адрес или Автономен Системен Номер (ASN) от публично достъпна база данни. Резултатът включва самоличността на регистранта, административни контакти, дати на регистрация и изтичане, сървъри за имена и регистратора на запис — всички от които са от критично значение за управление на домейни, разследване на злоупотреби и мрежова диагностика.
За всеки системен администратор, изследовател по сигурността или собственик на домейн, WHOIS не е просто инструмент за търсене — той е основен слой на инфраструктурата за прозрачност на интернет. Разбирането как работи на ниво протокол, какви данни разкрива (и защо някои от тях вече са скрити), и как да го използвате ефективно в различни среди е от съществено значение за всеки, управляващ активи, свързани с интернет.
Каква информация връща WHOIS lookup?
Данните, върнати от WHOIS заявка, варират в зависимост от регистъра, TLD (домейна от най-високо ниво) и политиките за поверителност на регистратора. В напълно нескрит запис можете да очаквате следните полета:
Информация за регистранта
- Пълно юридическо или организационно наименование
- Пощенски адрес
- Имейл адрес и телефонен номер
- Държава на регистрация
Административни и технически контакти
- Отделни записи за контакт за административните и техническите роли
- Използват се за оторизация на прехвърляне на домейн, верификация на промени в DNS и ескалация на злоупотреби
Детайли за регистрацията на домейна
- Дата на създаване: Оригиналният времеви печат на регистрацията (UTC)
- Дата на актуализация: Последната промяна в записа
- Дата на изтичане: Датата, на която домейнът изтича, ако не бъде подновен — от критично значение за стратегии за улавяне на освободени домейни
Записи на сървъри за имена
- Авторитетните DNS сървъри за домейна
- Данните за сървърите за имена никога не се скриват, дори под GDPR, тъй като са оперативно необходими
Информация за регистратора
- Акредитираният от ICANN регистратор, управляващ домейна (напр. GoDaddy, Namecheap, Tucows)
- IANA идентификатор на регистратора за кръстосана справка
Кодове за статус на домейна
- EPP кодове за статус като `clientTransferProhibited`, `serverHold` или `pendingDelete` — те често се пренебрегват, но носят значително оперативно значение
Как работи протоколът WHOIS: под капака
WHOIS работи през TCP порт 43, използвайки прост модел на заявка-отговор в обикновен текст, дефиниран в RFC 3912. Той предхожда съвременната мрежа и остава един от най-старите активни интернет протоколи, все още в широко използване.
Ето пълния жизнен цикъл на заявката:
- Клиентът инициира TCP връзка към WHOIS сървър на порт 43
- Клиентът предава низа на заявката (напр. `example.comrn`) в обикновен текст
- WHOIS сървърът извършва търсене в базата данни спрямо данните на своя регистър
- Сървърът връща записа като поток от обикновен текст и затваря връзката
За генерични TLD (gTLD) като `.com` и `.net`, заявката първо достига тънкия WHOIS сървър на Verisign, който връща само данните за регистратора и сървърите за имена. След това се изпраща втора заявка към собствения дебел WHOIS сървър на регистратора за извличане на пълния запис на регистранта. Тази двустепенна архитектура е причината някои инструменти да показват непълни данни, освен ако не извършват автоматично и двете заявки.
За TLD на държавни кодове (ccTLD) като `.de`, `.uk` или `.fr`, самият регистър често управлява дебел WHOIS сървър със собствена схема и политики за достъп.
WHOIS срещу RDAP: Съвременният наследник
Протоколът за достъп до данни за регистрация (RDAP) е стандартизираната от IETF замяна на WHOIS, дефинирана в RFC 7480–7484. За разлика от WHOIS, RDAP връща структурирани JSON отговори, поддържа автентикация за многостепенен достъп и обработва интернационализирани имена на домейни (IDN) по естествен начин.
| Функция | WHOIS (RFC 3912) | RDAP (RFC 7480+) |
|---|
| — | — | — |
|---|
| Формат на отговора | Неструктуриран обикновен текст | Структуриран JSON |
|---|
| Поддръжка на автентикация | Няма | Да (многостепенен достъп) |
|---|
| Интернационализирани имена | Слаба/непоследователна | Пълна поддръжка на Unicode |
|---|
| HTTPS транспорт | Не (TCP порт 43) | Да (HTTPS) |
|---|
| Стандартизирани имена на полета | Не (варира по регистър) | Да (дефинирани от IANA) |
|---|
| Контрол на достъпа, съобразен с GDPR | Не | Да |
|---|
| Автоматично откриване чрез bootstrap | Ръчно | Автоматично чрез IANA |
|---|
| Заглавки за ограничаване на скоростта | Не | Да |
|---|
ICANN задължи поддръжката на RDAP за всички gTLD регистри и регистратори от август 2019 г. Въпреки това WHOIS продължава да работи паралелно и все още е доминиращият метод, използван от инструменти за командния ред и наследени системи. За нови инструменти RDAP трябва да бъде предпочитаният протокол.
Видове WHOIS търсения
WHOIS търсене на домейн
Най-разпространеният вид. Прави заявки към базите данни на регистъра и регистратора за конкретен домейн от второ ниво (напр. `alexhost.com`). Връща пълния запис за регистрация, описан по-горе.
WHOIS търсене на IP адрес
Прави заявки към базите данни на Регионалните интернет регистри (RIR) — ARIN (Северна Америка), RIPE NCC (Европа/Близкия изток), APNIC (Азиатско-тихоокеанския регион), LACNIC (Латинска Америка) или AFRINIC (Африка) — за идентифициране на организацията, притежаваща конкретен IP блок. Това е незаменимо за докладване на злоупотреби, валидиране на геолокация и отстраняване на проблеми с BGP.
WHOIS търсене на ASN
Автономният системен номер (ASN) идентифицира колекция от IP маршрутизиращи префикси под един административен домейн. Заявката за ASN разкрива мрежовия оператор, тяхната политика за маршрутизиране и IP диапазоните, които обявяват. Използва се при BGP анализ, решения за пиъринг и атрибуция на DDoS източници.
Обратно WHOIS търсене
По-рядко обсъждана, но изключително ценна техника: вместо да правите заявка по домейн или IP, правите заявка по име на регистранта, имейл адрес или организация. Това връща всички домейни, регистрирани под това лице — мощно средство за защита на марката, разследване на измами и конкурентно разузнаване. Инструменти като DomainTools и ViewDNS.info поддържат това. Стандартните WHOIS сървъри не го поддържат.
Как да извършите WHOIS търсене: всички методи
Метод 1: Интерфейс на командния ред (препоръчан за системни администратори)
Командата `whois` е налична по подразбиране на Linux и macOS. В среда на VPS Хостинг, работеща с Debian или Ubuntu, пакетът може да се наложи да бъде инсталиран:
“`bash
sudo apt install whois -y
“`
Основно търсене на домейн:
“`bash
whois example.com
“`
Заявка към конкретен WHOIS сървър директно (полезно, когато стандартният сървър връща непълни данни):
“`bash
whois -h whois.verisign-grs.com example.com
“`
Търсене на IP адрес:
“`bash
whois 93.184.216.34
“`
Търсене на ASN:
“`bash
whois AS15169
“`
На Windows, нативният `whois.exe` от Microsoft Sysinternals е най-чистият вариант:
“`powershell
whois.exe example.com
“`
Съвет за системни администратори: При скриптиране на масови WHOIS търсения, винаги прилагайте ограничаване на скоростта (минимум 1–2 секунди между заявките). Повечето WHOIS сървъри налагат твърди ограничения на скоростта и временно ще блокират вашия IP при агресивни заявки. За търсения с голям обем, RDAP с правилни HTTP заглавки за кеширане е по-добър архитектурен избор.
Метод 2: Онлайн WHOIS инструменти
За еднократни търсения без достъп до терминал съществуват няколко авторитетни уеб-базирани инструмента:
- ICANN Lookup (`lookup.icann.org`) — каноничният източник; прави заявки към WHOIS и RDAP
- ARIN WHOIS (`search.arin.net`) — за данни за IP и ASN в Северна Америка
- RIPE NCC Database (`apps.db.ripe.net`) — за IP ресурси в Европа и Близкия изток
- DomainTools — търговска платформа с обратно WHOIS търсене, исторически записи и мониторинг
- MXToolbox — полезен за комбиниране на WHOIS с DNS и търсения в черни списъци в един работен процес
Метод 3: Интеграция на WHOIS в cPanel
Ако управлявате домейни чрез контролен панел, повечето интеграции с регистратори показват WHOIS данни директно. На VPS с cPanel, интерфейсът WHM предоставя помощни програми за търсене на домейни в секцията DNS функции, позволявайки на администраторите да проверяват делегирането на сървъри за имена и статуса на регистрацията, без да напускат панела.
Метод 4: Програмен достъп чрез API
За автоматизирани тръбопроводи за мониторинг са налични няколко RDAP и WHOIS API:
“`python
import requests
domain = "example.com"
response = requests.get(f"https://rdap.org/domain/{domain}")
data = response.json()
print(data["ldhName"]) # Domain name
print(data["events"]) # Creation, expiration, last changed
print(data["nameservers"]) # Authoritative nameservers
“`
Услугата за bootstrap `rdap.org` автоматично насочва вашата заявка към правилния RDAP крайна точка на регистъра, елиминирайки необходимостта от твърдо кодиране на адреси на сървъри.
Интерпретиране на EPP кодове за статус: какво повечето ръководства пропускат
EPP кодовете за статус в WHOIS запис на Разширимия протокол за осигуряване (EPP) често се разбират погрешно. Те пряко влияят на това какви операции могат да се извършват с даден домейн:
| EPP код за статус | Значение | Оперативно въздействие |
|---|
| — | — | — |
|---|
| `clientTransferProhibited` | Регистраторът е заключил домейна срещу прехвърляне | Не може да бъде прехвърлен към друг регистратор без отключване |
|---|
| `clientDeleteProhibited` | Домейнът не може да бъде изтрит на ниво регистратор | Защитава срещу случайно или злонамерено изтриване |
|---|
| `serverTransferProhibited` | Заключване на прехвърлянето на ниво регистър | Изисква действие от регистъра за премахване; обичайно при нови регистрации |
|---|
| `serverHold` | Домейнът е спрян на ниво регистър | DNS не се разрешава; често поради неплащане или злоупотреба |
|---|
| `pendingDelete` | Домейнът е в процес на изтриване | Ще бъде освободен за публиката в рамките на ~5 дни (за gTLD) |
|---|
| `redemptionPeriod` | Домейнът е изтекъл и е влязъл в гратисния период за възстановяване | Може да бъде възстановен от оригиналния регистрант срещу допълнителна такса |
|---|
| `ok` | Без ограничения; нормално оперативно състояние | Всички операции са разрешени |
|---|
Домейн, показващ само статус `ok` без заключвания за прехвърляне, е риск за сигурността — изключително лесно е да се инициира неоторизирано прехвърляне. Винаги се уверявайте, че `clientTransferProhibited` е зададен на производствените домейни.
Поверителност на WHOIS данните, GDPR и рамката SSAD
Общият регламент за защита на данните (GDPR), в сила от май 2018 г., фундаментално промени публичната достъпност на WHOIS данните за регистранти в Европейското икономическо пространство. Въздействието се разпростира глобално, тъй като повечето големи регистратори приложиха политики за скриване на данни универсално, а не на база географско местоположение на регистранта.
Какво се промени:
- Личните данни на регистранта (име, имейл, телефон, адрес) се заменят с `REDACTED FOR PRIVACY` или се насочват чрез услуга за прокси за поверителност
- Прокси имейл адреси, предоставени от регистратора (напр. `abc123@proxy.registrar.com`), заменят директните имейли за контакт
- Данните за сървърите за имена, самоличността на регистратора и EPP кодовете за статус остават публично видими
Какво не е разрешено:
Системата за стандартизиран достъп/разкриване (SSAD) на ICANN беше предложена като механизъм, позволяващ на проверени страни (правоприлагащи органи, адвокати по интелектуална собственост, изследователи по киберсигурност) да получат достъп до непублични WHOIS данни чрез централизиран шлюз. Към 2025 г. изпълнението на SSAD остава непълно, създавайки значителна празнина в работните процеси за разследване на злоупотреби. Екипите по сигурността редовно съобщават, че проследяването на фишинг инфраструктура и спам кампании е значително по-трудно след GDPR поради липсата на функционален механизъм за разкриване.
Практическо значение: Когато срещнете напълно скрит WHOIS запис, вашият път за ескалация на злоупотреба е чрез контакта за злоупотреби на регистратора (винаги посочен, никога скрит) или чрез системата за докладване на злоупотреби на регистъра. Регистраторът е договорно задължен съгласно политиката на ICANN да препраща жалби за злоупотреби до регистранта.
Защо WHOIS търсенията имат значение: реални случаи на употреба
Придобиване на домейн и надлежна проверка
Преди закупуване на домейн на вторичния пазар, WHOIS търсенето разкрива датата на изтичане, текущия регистратор и статуса на заключване за прехвърляне. Проверката на историческите WHOIS записи на домейна (чрез DomainTools или Wayback Machine) може да разкрие предишна употреба за спам или разпространение на зловреден софтуер, което може да е довело до включване в черни списъци.
Отстраняване на DNS проблеми
Когато даден домейн не се разрешава правилно, полетата за сървъри за имена в WHOIS са първата диагностична контролна точка. Несъответствие между сървърите за имена, изброени в WHOIS, и действителните авторитетни сървъри в DNS делегационната верига е честа основна причина за неуспешно разрешаване. Това е особено актуално при мигриране на хостинг между доставчици — например преминаването към среда на Dedicated сървър изисква актуализиране както на записите за сървъри за имена на регистратора, така и на конфигурацията на DNS зоната.
Валидиране на издаването на SSL сертификат
Сертифициращите органи, извършващи проверки за валидиране на домейн (DV), могат да правят кръстосана справка с WHOIS данните. Ако вашият домейн има активирана защита на поверителността, уверете се, че прокси услугата на вашия регистратор правилно препраща имейли за валидиране. Неправилните конфигурации тук са честа причина за неуспешно издаване на SSL сертификат, особено за wildcard и многодоменни сертификати.
Разследване на фишинг и злоупотреби
Екипите по сигурностни операции използват WHOIS за свързване на злонамерени домейни с известни заплахи. Споделени имейл адреси на регистранти, модели на сървъри за имена и клъстери от времето на регистрация са индикатори за координирана инфраструктура. Дори при скриване на данни по GDPR, данните за сървърите за имена и регистратора често предоставят достатъчно отправни точки.
Защита на марката и прилагане на права върху търговски марки
Правните екипи използват WHOIS за идентифициране на киберсквотъри и подаване на жалби по UDRP (Единна политика за разрешаване на спорове за имена на домейни) пред ICANN. Прокси адресът за контакт на регистранта е достатъчен за иницииране на официални производства.
Конкурентен мониторинг на домейни
Проследяването на това кога домейните на конкурентите се регистрират, подновяват или прехвърлят може да разкрие стратегически сигнали. Домейн, преминаващ към нов регистратор или доставчик на сървъри за имена, може да указва миграция на платформа или промяна в инфраструктурата.
Примерен WHOIS изход: с анотации
По-долу е представителен WHOIS запис с анотации, обясняващи значението на всяко поле:
“`
Domain Name: EXAMPLE.COM
Registry Domain ID: 2336799_DOMAIN_COM-VRSN ← Verisign registry ID
Registrar WHOIS Server: whois.registrar.com
Registrar URL: https://www.registrar.com
Updated Date: 2024-08-15T10:22:00Z ← Last record modification
Creation Date: 2000-01-01T00:00:00Z ← Original registration
Registry Expiry Date: 2026-01-01T00:00:00Z ← Renewal deadline
Registrar: Example Registrar, Inc.
Registrar IANA ID: 1234
Registrar Abuse Contact Email: abuse@registrar.com ← Always public
Registrar Abuse Contact Phone: +1.8005551234
Domain Status: clientDeleteProhibited ← Transfer/delete locks
Domain Status: clientTransferProhibited
Domain Status: clientUpdateProhibited
Name Server: NS1.EXAMPLEHOST.COM ← Authoritative DNS
Name Server: NS2.EXAMPLEHOST.COM
DNSSEC: unsigned ← No DNSSEC — potential risk
“`
Полето `DNSSEC: unsigned` заслужава специално внимание. Домейн без DNSSEC е уязвим към атаки за отравяне на DNS кеша. За всеки домейн, обработващ финансови транзакции или чувствителни потребителски данни, подписването с DNSSEC трябва да се счита за задължително.
WHOIS за валидиране на имейл инфраструктура
По-рядко обсъждано приложение на WHOIS е валидирането на легитимността на изпращащи домейни в работните процеси за имейл сигурност. При конфигуриране на Имейл хостинг или анализиране на входяща поща, кръстосаната справка на възрастта на WHOIS регистрацията на изпращащия домейн спрямо неговия обем на имейли може да маркира новорегистрирани домейни (по-малко от 30 дни) с непропорционална активност — силен индикатор за спам или фишинг инфраструктура.
Агентите за пренос на поща и антиспам платформите все повече включват данните за възрастта от WHOIS в своите модели за оценяване заедно с валидирането на SPF, DKIM и DMARC.
Матрица за технически решения: избор на метод за WHOIS
| Сценарий | Препоръчан метод | Бележки |
|---|
| — | — | — |
|---|
| Еднократна проверка на домейн | Уеб инструмент ICANN Lookup | Авторитетен; прави заявки към WHOIS и RDAP |
|---|
| Масов одит на домейни | CLI `whois` с ограничаване на скоростта или RDAP API | Скриптирайте с интервали на изчакване; използвайте RDAP за структуриран изход |
|---|
| Автоматизиран тръбопровод за мониторинг | RDAP JSON API | Структурирани данни; поддържа HTTP кеширане |
|---|
| Разследване на IP злоупотреби | Уеб интерфейс на RIR (ARIN/RIPE) | Използвайте правилния RIR за географското разпределение на IP |
|---|
| Исторически изследвания на регистранти | DomainTools или SecurityTrails | Търговски; налични исторически записи преди GDPR |
|---|
| Среда на контролен панел | DNS функции на cPanel или портал на регистратора | Интегриран; не изисква CLI |
|---|
| ASN и BGP анализ | `whois AS[number]` или RIPE Stat | Комбинирайте с BGP looking glass за пълна картина |
|---|
Практически контролен списък: най-добри практики за WHOIS за собственици на домейни
- Активирайте заключването за прехвърляне от регистратора (`clientTransferProhibited`) на всички производствени домейни веднага след регистрацията
- Задайте защита на поверителността в WHOIS, за да предотвратите излагането на лични данни, но проверете дали прокси услугата на вашия регистратор правилно препраща имейли за злоупотреби и валидиране
- Наблюдавайте датите на изтичане с автоматизирани известия — повечето регистратори предлагат това, но вторичен инструмент за мониторинг осигурява резервираност
- Проверявайте точността на сървърите за имена в WHOIS след всяка DNS миграция; разпространението може да отнеме до 48 часа, но WHOIS записът трябва да се актуализира в рамките на минути
- Проверете статуса на DNSSEC и активирайте подписването, ако вашият регистратор и DNS доставчик го поддържат
- Преглеждайте периодично EPP кодовете за статус — неочаквани промени в статуса могат да указват неоторизиран достъп до акаунта
- За домейни, регистрирани чрез услуги за Регистрация на домейни, потвърдете, че контактът за злоупотреби на регистратора е отзивчив преди да настъпи инцидент
- Кръстосано проверявайте WHOIS записа на вашия домейн спрямо бази данни с черни списъци след всеки инцидент по сигурността, за да оцените репутационното въздействие
Често задавани въпроси
Каква е разликата между тънък и дебел WHOIS запис?
Тънкият WHOIS запис, върнат от регистъра (напр. Verisign за `.com`), съдържа само името на регистратора, сървърите за имена и кодовете за статус. Дебелият WHOIS запис, върнат от собствения WHOIS сървър на регистратора, включва пълните данни за контакт на регистранта. Повечето инструменти за търсене извършват автоматично и двете заявки, но директното запитване на сървъра на регистъра ще върне само непълни данни.
Защо WHOIS търсенето показва „REDACTED FOR PRIVACY” вместо данни за контакт?
След GDPR повечето регистратори глобално прилагат скриване на поверителността към личните данни на регистранта по подразбиране или като услуга при избор. Контактът за злоупотреби на регистратора остава видим. За да се свържете със собственика на домейна, използвайте прокси имейл адреса или формата за контакт, предоставени в записа.
Могат ли WHOIS данните да се използват като правно доказателство за собственост на домейн?
WHOIS записите сами по себе си не са правно авторитетно доказателство за собственост — те отразяват данни за регистрация, а не право на собственост. В производства по UDRP и съдебни дела WHOIS записите се използват като подкрепящи доказателства заедно с данните от акаунта на регистратора, които са авторитетният източник. Данните от акаунта на регистратора изискват официално правно искане за получаване.
Колко често се актуализират WHOIS данните след промяна?
Базите данни на WHOIS на регистраторите обикновено отразяват промените в рамките на минути до няколко часа след модификация. Данните на ниво регистър (сървъри за имена, кодове за статус) се разпространяват до WHOIS сървъра на регистъра в рамките на минути. Въпреки това агрегаторите на WHOIS от трети страни и кеширащите прокси сървъри могат да обслужват остарели данни до 24–48 часа.
Какво означава статус „pendingDelete” и може ли домейнът все още да бъде възстановен?
`pendingDelete` означава, че домейнът е преминал през гратисния период на изтичане и периода на обратно изкупуване и е поставен на опашка за изтриване от регистъра. За домейни `.com` и `.net` тази фаза продължава приблизително 5 дни. През този период оригиналният регистрант не може да възстанови домейна — той може да бъде регистриран от всеки, след като бъде освободен. Статусът `redemptionPeriod`, който предхожда `pendingDelete`, е последният прозорец за възстановяване, обикновено срещу значителна допълнителна такса, начислявана от регистратора.